思科网络技术学院教程 网络安全基础PDF电子书下载

第1章　网络安全概述 3

1.1 网络安全的基本原理、趋势和目标 3

目录 3

第一部分 3

1.1.1 网络安全的需要 4

1.1.2　影响网络安全的趋势 5

1.1.3　网络安全目标 7

1.1.4　网络安全的关键要素 8

1.1.5　安全意识 9

1.2　安全威胁与攻击 10

1.2.1 网络安全弱点 11

1.2.2　主要网络威胁 12

1.2.3　侦查 13

1.2.4　窃听 15

1.2.5 系统访问 16

1.2.6　其他访问攻击 19

1.2.7　拒绝服务 20

1.2.8　分布式拒绝服务 22

1.2.9　弱点：OSI层次模型 25

1.3.1　安全车轮 27

1.3　安全框架与策略 27

1.3.2　安全策略基础 30

1.3.3 网络安全情况研究 33

1.4　安全产品和解决方案 37

1.4.1　身份 38

1.4.2　防火墙 40

1.4.3　虚拟专网 41

1.4.4 入侵探测 44

1.5　监控、管理和审计 46

1.6 SAFE 49

1.7　小结 50

1.8　关键术语 51

1.9　复习题 52

2.1　路由器和交换机安全概要 55

第2章　基本的路由器和交换机安全 55

2.1.1　路由器拓扑 56

2.1.2　路由器安装与安全 58

2.1.3　访问控制 59

2.1.4　使用密码控制路由器访问 63

2.1.5　设置优先级 64

2.1.6　设置用户账号 65

2.1.7　登录标语 66

2.2　禁用不需要的服务 67

2.2.1　路由选择、代理ARP、ICMP 72

2.2.2 NTP、SNMP、路由器名字、DNS 74

2.3.1　控制入站和出站流量 77

2.3　边界路由器安全 77

2.3.2 网络地址转换 79

2.3.3　路由协议验证与更新过滤 81

2.3.4　流量过滤 83

2.3.5　过滤ICMP消息 87

2.3.6 Cisco IOS防火墙 88

2.4　路由器管理 89

2.4.1 日志 90

2.4.2　网络设备间的时间同步 92

2.4.3　软件和配置的维护 94

2.4.4　使用SSH进行远程管理 95

2.5　安全交换和局域网访问 96

2.5.1　第二层攻击以及缓解 98

2.5.2　端口安全 99

2.5.3　虚拟局域网 101

2.7　关键术语 102

2.6　小结 102

2.8　复习题 103

3.1　访问控制列表 107

第3章 路由器ACL和CBAC 107

3.1.1　在ACL中使用掩码 109

3.1.2 ACL总结 110

3.1.3 处理ACL 111

3.1.4　应用ACL 112

3.1.5 编辑ACL 113

3.1.6　排除ACL故障 114

3.2 IP ACL的类型 115

3.2.1 标准ACL 116

3.2.2　扩展ACL 117

3.2.4　注释IPACL条目 118

3.2.3 命名IP ACL 118

3.2.5　锁和密钥（动态）ACL 119

3.2.6　反身ACL 120

3.2.8　验证代理 122

3.2.7　使用时间范围的时基ACL 122

3.3　基于上下文的访问控制 123

3.2.9 Turbo ACL 123

3.3.1 CBAC是如何工作的 125

3.3.2 支持CBAC的协议 127

3.3.3　配置CBAC：第一步——设置审计跟踪和警报 128

3.3.4　配置CBAC：第二步——设定全局超时和阈值 129

3.3.5　配置CBAC：第三步——定义应用程序端口映射（PAM） 132

3.3.6　配置CBAC：第四步——定义检查规则 134

3.3.7　配置CBAC：第五步——在路由器接口上应用检查规则和ACL 142

3.3.8　配置CBAC：第六步——测试和检验 145

3.3.10　配置一个空接口 147

3.3.9　移除CBAC配置 147

3.5　关键术语 148

3.4　小结 148

3.6　复习题 149

4.1 AAA安全网络访问 153

第4章　路由器AAA安全 153

4.1.1 AAA安全网络构架 154

4.1.2　验证方法 155

4.2.2　远程网络访问 158

4.2.1　远程管理 158

4.2　网络访问服务器（NAS）AAA验证过程 158

4.2.3 AAA安全服务器的选择 159

4.3 Cisco Secure ACS 160

4.2.4 NAS配置 160

4.3.1 管理Cisco Secure ACS3.0 for Windows 161

4.3.3 Cisco Secure ACS for UNIX概述 163

4.3.2 Cisco Secure ACS for Windows故障排除技术 163

4.3.4 Cisco Secure ACS 2.3 for UNIX的特性集 164

4.3.5 Cisco Secure ACS解决方案引擎 165

4.4 AAA服务器概述及配置 167

4.4.4 介绍RADIUS 168

4.4.3 TACACS＋ 168

4.4.1 TACACS 168

4.4.2 XTACACS 168

4.4.5 RADIUS和TACACS＋的比较 170

4.5 Cisco IOS防火墙验证代理 171

4.4.6 Kerberos概述 171

4.5.2　验证代理操作 172

4.5.1 支持的服务器 172

4.5.3　验证代理配置任务 173

4.5.4 HTTPS验证代理 175

4.7　关键术语 177

4.6　小结 177

4.8　复习题 178

5.1 IOS防火墙IDS 181

第5章　路由器入侵探测、监控和管理 181

5.2　安装Cisco IOS防火墙IDS 183

5.1.2　响应选项 183

5.1.1 实现签名 183

5.2.2　步骤2：初始化路由器上的IOS Firewall IDS———设置通告队列的尺寸 184

5.2.1 步骤1：初始化路由器上的IOS Firewall IDS——设置通告的类型 184

5.2.3　步骤3：配置、禁用或剔除签名 185

5.2.4　步骤4：创建和应用审计规则 186

5.2.5　步骤5：检验配置 187

5.3.1 日志的价值 189

5.3　使用日志和Syslog监控 189

5.2.6　步骤6：添加IOS防火墙IDS到IDSDirector的映射图 189

5.3.2　配置日志 190

5.3.3　配置日志消息的同步 191

5.3.4　限制错误消息的严重等级 192

5.3.5　系统日志（Syslog） 193

5.4 SNMP 196

5.4.1 SNMP的安全 198

5.4.2 SNMP版本3（SNMPv3） 199

5.4.4 SNMP管理应用程序 201

5.4.3　如何配置SNMP 201

5.5.1 管理员的访问机制 202

5.5　管理路由器 202

5.5.2　升级路由器 203

5.5.4　企业监控 204

5.5.3　测试和安全确认 204

5.6　安全设备管理器（SDM） 205

5.6.1 访问SDM 207

5.6.3　修改现有的配置文件 209

5.6.2　下载安装SDM 209

5.7　小结 210

5.6.4　使用默认的配置文件 210

5.9　复习题 211

5.8　关键术语 211

6.1.1 Site-to-Site VPN 215

6.1 VPN 215

第6章　路由器配置Site-to-Site VPN 215

6.1.2 VPN技术选项 216

6.1.3　隧道协议 217

6.1.4　隧道接口 218

6.2 IOS密码系统 219

6.2.1　对称加密 220

6.2.2　非对称加密 221

6.2.3 Difiie-Hellman算法 222

6.2.4　数据完整性 223

6.2.5 HMAC 224

6.2.6　来源验证 225

6.3 IPSec 226

6.3.1　验证头 228

6.3.2 ESP协议 229

6.3.3 IPSec传输模式 230

6.3.4　安全关联 231

6.3.6 IKE 233

6.3.5　IPSec的5个步骤 233

6.3.7 IPSec和IKE的逻辑流程 235

6.4.1　任务1：为IKE和IPSec做准备 236

6.4　使用预共享密钥的Site-to-Site IPSec VPN 236

6.4.3　任务3：配置IPSec 237

6.4.2　任务2：配置IKE 237

6.5　数字证书 240

6.4.4　任务4：测试和校验IKE 240

6.5.1 SCEP 241

6.5.2 CA服务器 242

6.5.3　用一个CA注册设备 243

6.6　使用数字证书配置Site-to-Site IPSec VPN 244

6.6.2　任务2：配置CA支持 245

做准备 245

6.6.1　任务1：为IKE和IPSec 245

6.6.3　任务3：IKE配置 246

6.6.5　任务5：测试和检验IPSec 247

6.6.4　任务4：配置IPSec 247

6.8　关键术语 248

6.7　小结 248

6.9　复习题 249

7.1　远程访问VPN 253

第7章　路由器远程访问VPN 253

7.1.1　远程访问VPN的类型 254

7.1.2　远程访问的隧道协议 255

7.2.1 Cisco Easy VPN Server 256

7.2.2 Cisco Easy VPN Remote 256

7.2 Cisco Easy VPN 256

7.2.3 Cisco VPN 3.5 Client 259

7.3.1　路由器MC里的关键概念 264

7.3 VPN企业管理 264

7.3.3　路由器MC的安装 266

7.3.2　支持的隧道技术 266

7.3.4　路由器MC的使用 268

7.3.5　路由器MC界面 269

7.6　复习题 270

7.5　关键术语 270

7.4　小结 270

8.1　防火墙简介 275

第8章　PIX安全设备 275

第二部分 275

8.1.1　使用防火墙的理由 276

8.1.2　防火墙技术 277

8.1.3　防火墙市场 281

8.2 Cisco PIX Security Appliance 282

8.2.1 PIX的特点 283

8.2.2 PIX安全设备家族 288

8.2.3 防火墙服务模块 289

8.2.5 PIX安全设备的VPN功能 291

8.2.4 PIX安全设备许可证类型 291

8.3.1　用户界面 292

8.3　开始使用PIX SecurityAppliance 292

8.3.2　基本PIX设置命令 295

8.3.3　检查PIX状态 298

8.4.1　静态路由 300

8.4　路由选择和多播配置 300

8.4.2　动态路由 301

8.4.3　多播路由选择 303

8.5 PIX动态主机控制配置 308

8.4.4　查看和调试存根多播路由选择 308

8.5.2 PIX安全设备对DHCP的支持 309

8.5.1　服务器和客户端 309

8.5.3 DHCP服务器 310

8.7　关键术语 311

8.6　小结 311

8.5.4　配置PIX安全设备作为DHCP服务器 311

8.8　复习题 312

9.1.1 IP世界中的会话 315

9.1　传输协议 315

第9章　PIX安全设备转换和连接 315

9.1.2 TCP详细回顾 316

9.1.4 UDP特点及与PIX的交互 319

9.1.3 TCP特点及与PIX的交互 319

9.2.1　连接与转换 320

9.2　网络地址转换 320

9.2.2　地址转换类型 321

9.3 PIX上的DNS地址更改、目的NAT和DNS记录转换 327

9.3.1 DNS地址更改过程 328

9.3.3 DNS记录转换 329

9.3.2　用alias命令实现目的NAT 329

9.4.1　穿过PIX安全设备的两种方法 330

9.4 连接 330

9.5　端口地址转换 331

9.4.2　静态通道 331

9.5.1 PIX安全设备的PAT 332

9.5.2　使用外部地址转换的PAT 333

9.5.4　使用多PAT地址提供后备PAT地址 334

9.5.3　映射子网到PAT地址 334

9.5.6　端口重定向 335

9.5.5　使用PAT增加全局地址以支持更多主机 335

9.6.1　通过PIX安全设备进行访问 337

9.6 PIX安全设备的多接口 337

9.6.2　在PIX安全设备上配置三个接口 338

9.6.3　配置PIX安全设备的四个接口 339

9.7　小结 340

9.9　复习题 341

9.8　关键术语 341

10.1.1 ACL使用原则 345

10.1 ACL和PIX安全设备 345

第10章　PIX安全设备访问控制列表 345

10.1.3 Turbo ACL 346

10.1.2 实现ACL 346

10.1.4 ACL与管道技术的比较 347

10.1.5 ACL案例研究：管道和ACL行为的差异 348

10.2　使用ACL 351

10.1.6 ACL的验证和故障排除 351

10.2.2　使用ACL来允许Web访问DMZ 352

10.2.1　使用ACL拒绝内网用户的Web访问 352

10.2.3 ACL的通常用法：允许合作伙伴Web访问DMZ 353

10.2.4 ACL的常规用法：允许DMZ访问内部邮件 354

10.2.5 VPN解决方案：双DMZ和VPN集中器 355

10.2.6 用ACL禁用Ping 356

10.3.1　过滤恶意小程序 357

10.3　过滤 357

10.3.2 URL过滤 358

10.4　对象组 359

10.4.1　在ACL中使用对象组 360

10.4.3　在对象组上应用ACL 362

10.4.2　配置对象组 362

10.5　嵌套的对象组 363

10.5.2　嵌套对象组例子 364

10.5.1 配置嵌套的对象组 364

10.5.3 ACL中多个对象组的例子 365

10.5.4　验证和管理对象组 366

10.8　复习题 367

10.7　关键术语 367

10.6　小结 367

11.1 AAA 371

第11章　PIX安全应用AAA 371

11.1.1　用户在验证和授权中看到了什么 372

11.1.2　切入型代理操作 373

11.1.3 TACACS＋和RADIUS 374

11.1.4 CSACS和PIX 375

11.2.1 aaa-server命令 376

11.2 PIX上的验证配置 376

11.2.2 aaa authentication命令 377

11.2.4　验证非Telnet、非FTP或非HTTP流量 378

11.2.3 AAA验证实例 378

11.2.5 虚拟Telnet 379

11.2.6 虚拟HTTP 380

11.2.7　控制台访问验证 381

11.2.8　更改验证超时和验证提示 382

11.3.1 aaa authorization命令 383

11.3 PIX安全应用上的授权配置 383

11.3.2　使用可下载的ACL提供授权 384

11.4　在PIX安全应用上配置记账 385

11.6　监控AAA配置 386

11.5　使用AAA服务定义流量 386

11.7.1 PIX如何与PPPoE交互工作 387

11.7 PPPoE和PIX安全应用 387

11.7.2　配置PIX支持PPPoE 388

11.7.3　监控和故障排除PPPoE客户端 389

11.8 附录11-A：如何向CSACS-NT添加用户 390

11.8.2　用户设置 391

11.8.1 附加用户信息 391

11.8.3 账号禁用 392

11.9.2　如何创建仅对CSACS上指定主机提供服务的授权规则 393

11.9.1　如何在CSACS上建立一个允许指定服务的授权规则 393

11.9　附录11-B：CSACS和授权 393

11.9.3　如何在CSACS上为非telnet、非FTP和非HTTP的流量授权 394

11.10　附录11-C：CSACS和ACL 395

11.12　小结 397

11.11　附录11-D：如何在CSACS中查看记账信息 397

11.14　复习题 398

11.13　关键术语 398

12.1　高级协议处理 401

第12章　PIX高级协议和入侵检测 401

12.1.1 fixup命令 402

12.1.2 FTP Fixup配置 403

12.1.3　远程Shell（rsh）Fixup 配置 405

12.1.4 SQL＊Net Fixup配置 406

12.1.6 小客户Fixup配置 407

12.1.5 SIP Fixup配置 407

12.2 多媒体支持和PIX安全应用 408

12.2.1 实时流协议 409

12.2.2 H.323 412

12.2.3 IP电话和PIX安全应用DHCP服务器 413

12.3.1　邮件防护 414

12.3　攻击防护 414

12.3.2 DNS防护 415

12.3.4 AAA泛洪防护 416

12.3.3　分片防护和虚拟重组 416

12.3.5 SYN泛洪攻击 417

12.4 入侵检测和PIX安全应用 418

12.3.6 TCP拦截 418

12.4.1 信息和攻击入侵检测特征 419

12.4.2 PIX安全应用中的入侵检测 420

12.5　规避 421

12.6 PIX安全应用系统日志记录 422

12.7 SNMP 424

12.7.2 MIB支持 425

12.7.1 SNMP实例 425

12.7.3 示例：SNMP通过PIX安全应用 426

12.9　关键术语 428

12.8　小结 428

12.10　复习题 429

13.1　了解PIX Security Appliance故障转移 433

第13章　PIX故障转移与系统维护 433

13.1.2　配置文件复制 435

13.1.1　故障转移的IP地址 435

13.1.3　故障转移和有状态故障转移 436

13.1.4　故障转移接口测试 437

13.2.1　步骤1：连接防火墙 438

13.2　串行电缆故障转移配置 438

13.2.2　步骤2：连接故障转移电缆 439

13.2.4 步骤4：从防火墙接电 440

13.2.3 步骤3：配置主PIX 440

13.2.5 验证故障转移配置文件 442

13.3 基于LAN的故障转移配置 443

13.3.1 步骤1～4：配置主PIX 444

13.3.2 步骤5～10：配置从PIX 445

13.4.1 为PIX Security Appliance控制台配置Telnet访问 447

13.4 通过远程访问维护系统 447

13.4.3 用SSH客户端连接到PIX Security Appliance 448

13.4.2 SSH连接到PIX Security Appliance 448

13.5 命令授权 449

13.5.2 方法2：本地命令授权 450

13.5.1 方法1：启用级别命令授权 450

13.5.3 方法3：ACS命令授权 451

13.7 升级PIX Security Appliance映像及激活密钥 452

13.6 PIX Security Appliance密码恢复 452

13.9 关键术语 453

13.8 小结 453

13.10 复习题 454

14.1.1 PIX VPN性能 457

14.1 PIX Security Appliance实现安全的VPN 457

第14章 PIX Security Appliance VPN 457

14.1.2 PIX VPN拓扑结构 458

14.1.5 PIX Security Appliance支持IPSec标准 459

14.1.4 IPSec概述 459

14.1.3 IPSec实现PIXVPN特性 459

14.2 配置VPN任务 461

14.2.1 任务1：准备配置VPN支持 462

14.2.2 任务2：配置IKE参数 465

14.2.3 任务3：配置IPSec参数 467

14.2.4 任务4：测试和校验VPN配置 470

14.3 Cisco VPN客户端 473

14.3.1 Cisco VPN客户端拓扑结构 474

14.3.2 PIX Security Appliance分配IP地址到VPN客户端 475

14.3.3 配置PIX Security Appliance的PIX到VPN客户端隧道 476

14.3.4 为PIX到PIX客户端隧道配置VPN客户端 478

14.4 使用CA扩展PIX VPN 479

14.6 关键术语 481

14.5 小结 481

14.7 复习题 482

15.1 PIX管理工具 485

第15章 PIX安全设备管理 485

15.1.2 Cisco安全策略管理器 486

15.1.1 PIX设备管理器 486

15.1.3 PIX管理中心 487

15.2 Cisco PIX设备管理器 488

15.2.2 PDM浏览器要求 489

15.2.1 PDM运行要求 489

15.2.3 PDM的准备 491

15.2.4 运用PDM配置PIX 493

15.2.5 使用PDM创建站点到站点VPN 501

15.2.6 使用PDM创建远程访问VPN 506

15.3.1 PIX MC 509

15.3 企业PIX管理 509

15.3.2 PIX MC的主要概念 510

15.4 小结 511

15.3.3 AUS 511

15.5 复习题 512

第三部分 517

附录A 关键术语 517

附录B 复习题答案 525

附录C 物理层安全 531

C.1 什么是物理安全？ 531

C.2 第1层安全的开销是什么？ 533

C.3 第1层安全保护了什么？ 534

C.4 物理安全同样能够防御其他威胁 534

C.5 物理层安全的基础 534

C.6 ANSI/TIA/EIA 535

C.7 安全培训 537

C.7.1 建立安全意识 537

C.7.3 登录访问及操作 538

C.7.4 提出适当有礼的质疑 538

C.7.2 需要进行验证 538

C.8 高级通行证及Biometric验证 539

C.9 威慑因素 539

C.7.5 知道向哪些人寻求援助 539

C.10.1 闲置插座 540

C.10.2 抗干扰插座 540

C.10 工作区安全 540

C.10.3 抗干扰路径 541

C.10.4 电信间 541

C.11 入侵者怎样截取信息并解码 542

C.11.2 入侵者怎样对资料解码 543

C.12 光纤入侵 543

C.11.1 入侵者是怎样截取资料的 543

C.12.1 直接物理入侵 544

C.13 无线侦听 545

C.13.1 竞争驾驶 545

C.12.2 管道 545

C.13.2 竞争拨号和竞争行走 546

C.14 安全自动控制 546

C.15 物理安全中的人员因素 547

C.16 小结 549

附录D 操作系统安全 553

D.1 Linux操作系统级安全 553

D.1.1 保护正在运行的进程 554

D.1.2 文件系统和目录安全 556

D.1.3 验证安全 560

D.2 Linux基础设施级安全 562

D.2.1 保护Samba 562

D.2.2 保护NFS 564

D.2.3 保护xinetd守护进程 566

D.3 保护Linux网络服务 568

D.3.1 保护Linux FTP服务器 568

D.3.2 保护Linux Web服务器 569

D.3.3 保护Linux邮件服务器 571

D.4 Linux网络安全和过滤方法 573

D.4.1 TCP包装程序 573

D.4.2 网络地址转换 574

D.4.3 防火墙和代理服务 574

D.5 Windows 2000验证安全 576

D.5.1 识别安全架构 576

D.5.2 在Windows 2000中验证用户 577

D.6 Windows 2000操作系统级安全 578

D.6.1 保护文件和打印资源 578

D.6.2 加密文件系统 580

D.6.3 审核对资源的访问 583

D.7 Windows 2000基础结构级安全 584

D.7.1 保护活动目录 584

D.7.2 用组策略辅助安全管理 585

D.7.3 安全模版、安全配置和分析工具的使用 586

D.7.4 安全地对DNS记录进行更新 586

D.8 保护Windows网络服务 587

D.8.1 保护WWW服务器 588

D.8.2 保护FTP服务器 588

D.8.3 保护Windows邮件服务器 589

D.8.4 SSL/TLS的使用 590

D.9 Windows网络的安全方法 590

D.9.1 Internet连接共享 591

D.9.2 网络地址转换 592

D.9.3 路由选择和远程访问服务 592

D.9.4 Internet验证服务和RADIUS 594

D.9.5 Internet协议安全 595

D.10 小结 596